Escroquerie au faux conseiller bancaire : Sécuripass ne suffit pas à exonérer la responsabilité de la banque

Le 21 juillet 2025, le Tribunal judiciaire de Lille a rendu une décision particulièrement éclairante en matière de fraude bancaire et de responsabilité des prestataires de services de paiement (n° 24/05653). Elle s’inscrit dans le contentieux de plus en plus fréquent relatif aux fraudes par ingénierie sociale, et plus précisément au phénomène de « spoofing » ou fraude au faux conseiller bancaire.

Les faits étaient les suivants : le 12 novembre 2022, deux virements ont été réalisés depuis les comptes d’un client du Crédit Agricole Nord-de-France, pour un montant cumulé de 6 937,98 euros. Ces transactions avaient été validées via le système d’authentification forte « Sécuripass », dispositif censé sécuriser les paiements en ligne et répondre aux exigences de la directive européenne sur les services de paiement (DSP2). Or, le client bancaire soutenait n’avoir jamais autorisé ces opérations, victime de la tromperie d’un faux conseiller bancaire qui l’avait induit en erreur et l’avait conduit, à son insu, à valider des transactions frauduleuses.

Le client avait aussitôt déposé plainte et sollicité le remboursement auprès de sa banque, qui avait refusé, considérant que la validation par « Sécuripass » établissait l’autorisation du client.

Son assureur, la MAIF, avait également tenté d’intervenir, sans plus de succès. Le médiateur bancaire avait confirmé la position de la banque. Face à ces refus successifs, le client avait finalement assigné le Crédit Agricole devant le Tribunal judiciaire de Lille.

La première question posée au juge portait sur la recevabilité de l’action, la banque invoquant la forclusion prévue à l’article L133-24 du Code monétaire et financier.

Selon ce texte, l’utilisateur de services de paiement doit signaler à son prestataire toute opération non autorisée ou mal exécutée au plus tard dans un délai de treize mois, faute de quoi il est forclos.

Le Crédit Agricole en déduisait alors que le client était irrecevable, estimant que son action avait été introduite trop tardivement.

Cet argument est souvent invoqué à tort par les banques. Et la jurisprudence est désormais constante : le délai de 13 mois concerne le signalement de l’opération litigieuse à la banque, pas le délai d’action en justice.

Le tribunal a donc rappelé que le délai de treize mois vise uniquement la notification de l’opération à la banque, et non l’introduction de l’action judiciaire. En l’espèce, le client avait bien contesté les débits dès décembre 2022, soit dans le délai de treize mois prévu par le texte. Sa demande a donc été déclarée recevable.

Cette précision mérite d’être soulignée, car elle confirme l’absence de toute confusion possible entre la forclusion procédurale, qui limite l’action en justice, et la forclusion substantielle, qui limite la possibilité de contester l’opération auprès du prestataire. Le juge adopte ainsi une lecture conforme à la directive européenne 2015/2366 (DSP2), qui encadre uniquement la notification et non l’action judiciaire elle-même.

Sur le fond, le tribunal a rappelé que, conformément aux articles L133-18 et L133-19 du Code monétaire et financier, toute opération de paiement non autorisée doit être remboursée immédiatement par la banque, sauf si celle-ci démontre que le client a agi frauduleusement ou qu’il a commis une négligence grave.

La jurisprudence de la Cour de cassation (notamment Com., 18 janvier 2017, n°15-18.102) précise que la seule utilisation de l’instrument de paiement ou d’un dispositif d’authentification forte ne suffit pas à caractériser une telle négligence. La charge de la preuve repose entièrement sur l’établissement bancaire, qui doit démontrer soit une fraude du client, soit un manquement intentionnel ou par négligence grave à ses obligations de sécurité et de vigilance.

Or, en l’espèce, le client avait agi avec diligence : il avait déposé plainte dès la découverte des débits, alerté sa banque et sollicité l’intervention du médiateur bancaire. Il affirmait n’avoir jamais communiqué ses identifiants ni transmis ses codes confidentiels. Le tribunal a considéré qu’il avait été victime d’un stratagème extérieur, typique des techniques d’ingénierie sociale, consistant à usurper l’identité d’un conseiller bancaire pour obtenir la validation involontaire de transactions.

Dans ces conditions, aucune négligence grave ne pouvait lui être imputée. La banque n’a pas réussi à rapporter la preuve contraire, et s’est vue condamnée à rembourser l’intégralité des sommes prélevées, soit 6.937,98 euros, assortie des intérêts au taux légal majoré à compter du 15 décembre 2022, date du premier refus de remboursement.

Ce dernier point mérite également d’être souligné : le juge applique strictement l’article L133-18 du Code monétaire et financier, qui impose un remboursement immédiat et prévoit, en cas de retard, une pénalisation par l’application d’intérêts majorés de cinq, dix ou quinze points selon la durée. Compte tenu du refus systématique des banques de rembourser, nous nous trouvons chaque fois dans le cas des intérêts majorés au maximum, soit + 15 points, ce qui n’est pas négligeable.

Le mécanisme légal de sanction du retard est jugé suffisant pour réparer le préjudice subi par le client, ce qui conduit le tribunal à rejeter la demande de dommages-intérêts supplémentaires pour résistance abusive.

Enfin, la banque a été condamnée à payer 1 000 euros au titre de l’article 700 du Code de procédure civile, ainsi qu’aux dépens.

Au-delà du cas particulier de cette décision, ce jugement illustre la difficulté pour les banques de s’exonérer de leur responsabilité face aux fraudes d’ingénierie sociale.

Elle confirme que l’authentification forte, loin d’être une garantie absolue, ne permet pas de rejeter systématiquement les demandes de remboursement. Le « spoofing » repose précisément sur la capacité des fraudeurs à manipuler la vigilance des clients, en se faisant passer pour des interlocuteurs légitimes, et à obtenir indirectement la validation d’opérations. Le juge rappelle ainsi que seule la preuve d’une négligence grave du client peut dispenser la banque de rembourser, preuve qui ne saurait résulter de la seule utilisation de l’application « Sécuripass ».

Cette décision est parfaitement cohérente avec la jurisprudence récente de la Cour de cassation et de la Cour de justice de l’Union européenne, qui imposent une lecture protectrice du droit des services de paiement. Elle confirme que le consommateur bénéficie d’une présomption de bonne foi et que la banque, en tant que professionnel, doit assumer la charge de sécuriser ses dispositifs et de démontrer les éventuelles fautes du client.

En définitive, le jugement du Tribunal judiciaire de Lille du 21 juillet 2025 constitue un nouvel exemple de jurisprudence protectrice des victimes de fraudes au faux conseiller bancaire. Il illustre à la fois l’application rigoureuse des textes issus de la DSP2 et la reconnaissance par le juge de la spécificité des fraudes d’ingénierie sociale.

Les établissements bancaires sont ainsi rappelés à leurs obligations : ils doivent rembourser les opérations contestées, sauf à établir, de manière précise et convaincante, la fraude ou la négligence grave du client.

Cette décision conforte les droits des usagers des services de paiement et envoie un signal clair quant à la responsabilité accrue des banques face à des fraudes qui se perfectionnent sans cesse.